Problema - detectie fals-pozitiva

**adversaru** · 26-12-2021 11:43 PM

RAPORT: You have to register to be able to see this link. Register HERE! If you are already a member please log in! If you still you are not able to see the link you need to activate your account or an administrator need to activate your account!
ANTIVIRUS: --lipsa--
DESCRIERE ADITIONALA: Folosesc un fps-booster, care contine o simpla manipulare a functiei SCR_Updatescreen pentru a da skip frame-urilor randate, in asa fel incat, intr-o oarecare masura, sa creasca FPS-ul in joc.
Acum, cand am scanat cu Wargods, mi-a aparut ca fiind Generic Cheat Detection.
La cerere iti pot trimite atat fisierul DLL cat si codul din el.
Interesul meu asupra acestui topic este urmatorul: sa poti verifica absolut tot ce este nevoie atat la dump cat si la fisierul respectiv, pentru a-l putea exclude din lista celor detectate.
Daca asta nu esti dispus sa faci, din cine stie ce motive, m-ar interesa, ulterior verificarii si scanarii, sa spui si sa declari faptul ca fisierul respectiv nu contine altceva inafara de fps-boosting, in asa fel incat sa-l flagezi in wargods ca fiind orice altceva, dar nu "cheat", ceea ce nu-l reprezinta.

Astept raspunsul tau, sunt dispus sa-ti ofer orice informatie necesara.

LINK DUMP MEMORIE CS: You have to register to be able to see this link. Register HERE! If you are already a member please log in! If you still you are not able to see the link you need to activate your account or an administrator need to activate your account!
Parola de la arhiva o voi trimite in privat, daca pot.
Mersi.

**Tiger** · 27-12-2021 11:05 AM

Ma indoiesc ca este legitim ceea ce folosesti tu de indata ce:

nu este public, cel putin eu nu-l gasesc, nici macar binarul sau vreo documentatie/site ce sa ii descrie functionalitatea
are metode antidebug/antireverse
string-uri xorate
cod pe alocuri obfuscat
mai important nu contine doar "o simpla manipulare a functiei SCR_Updatescreen" pentru ca vine la pachet cu mult mai multe features
etc.

Astept codul sursa, pe privat, nu are rost sa imi pierd timpul sa ma uit peste binar si sa ii fac reverse pentru ca puteam face asta reparand ce am extras din dump-ul de memorie. Am o intuitie ca foloseste bucati din codul sursa a cheat-urilor.

**adversaru** · 27-12-2021 05:06 PM

Nu este public, este privat, il avem doar 3 persoane.
Asupra restului detaliilor nu voi comenta decat faptul ca, sunt sigur, atat eu cat si developerul, ca DLL-ul respectiv nu are nicio alta functie inafara de 2 comenzi: cl_fpsboost - cl_fpsboost_offset

Ti-am trimis in privat fisierul si informatiile.

**Tiger** · 27-12-2021 08:12 PM

Codul sursa ce mi l-ai dat este luat de You have to register to be able to see this link. Register HERE! If you are already a member please log in! If you still you are not able to see the link you need to activate your account or an administrator need to activate your account! (si este public, evident) si nicidecum nu este complet comparand cu fisierul fps.dll. Daca codul sursa de mai sus este build-uit, nu are cum sa rezulte un binar de aproape 162KB.

N-are rost sa stau sa analizez binarul, am decriptat doar cateva string-uri obfuscate in el:

Code:

You have to register to be able to see this link. Register HERE! If you are already a member please log in! If you still you are not able to see the link you need to activate your account or an administrator need to activate your account!

Sunt suficiente chestii, cu cele mentionate anterior, cat sa fie specific doar cheat-urilor. Ti-as sugera sa-l stergi cat mai rapid si sa nu-l mai bagi pe Steam, inainte ca ei sa iti dea ban VAC.

LE: Acum vad pe profilul tau

1 VAC ban on record | Info
15 day(s) since last ban

**adversaru** · 27-12-2021 10:22 PM

Da, banul a fost datorita altor chestii injectate si testate.
Cat despre ce ai aratat tu, alea sunt ramasite, pe ici pe colo, aparent de la baza, care a fost luata probabil dintr-un cheat altfel fara de care, DLL-ul nu ar putea merge pentru ca ar fi fost nevoit sa faca una de la zero, care in fond clar nu merita.
Cum am mai spus: singurul lucru functional atat extern cat si intern este "fps-boosterul".
Daca are rost sau nu sa continui decriptarea sau ce crezi ca te-ar ajuta sa intelegi ce contine mai exact tu decizi, insa in momentul de fata nu exista niciun fel de dovada clara si concisa cum ca fisierul respectiv contine vreun cheat functional.
Cat despre resturi de cheat, cel mai probabil sunt si mai multe, atat timp cat, cum am spus, baza a fost luata cel mai probabil de la un cheat functional.

Edit: intre timp se incearca crearea unei baze noi, pentru a testa metoda fara nicio urma de "cheat", revin cu rezultatul testului Wargods.

**Tiger** · 28-12-2021 11:16 AM

Nu sunt doar ramasite, sunt efectiv hook-uri active atat in engine cat si in opengl32. Daca nu ar fi fost utilizate, compiler-ul (ce are optimizarile enabled [by default in release]) le-ar fi scos automat, iar fisierul tau a fost compilat in modul release.

Aveati SkipFrames deja facut de cineva (public din 24.12.2020). Voi ati luat codul sursa de la el si ati mai adaugat stuff (09.01.2021). Inclusiv o buna parte din acele strings criptate.

Detectia ramane, nefiind caz de false-positive.

**adversaru** · 28-12-2021 03:33 PM

Intre timp am vazut ca ai luat si informatiile de la injectorul nostru Lunar si l-ai bagat in wg ca sa fie detectat.

)

O sa revin cu informatii dupa ce vom scana cu Skip frames curat, poti lasa topicul deschis ca sa nu incep altul.

As aprecia daca ai putea sa-mi maresti / scoti limita de teste pe unique id-ul respectiv din testari, cel putin temporar, mersi.

**Tiger** · 28-12-2021 04:09 PM

*facepalm*

Originally Posted by adversaru You have to register to be able to see this link. Register HERE! If you are already a member please log in! If you still you are not able to see the link you need to activate your account or an administrator need to activate your account!

Intre timp am vazut ca ai luat si informatiile de la injectorul nostru Lunar si l-ai bagat in wg ca sa fie detectat.

)

Nu am facut update, totul se realizeaza automat. Ma indoiesc ca este "injectorul vostru", cand ati luat si integrat SkipFrames si v-ati dat drept autorul lui fara macar sa recunoasteti asta... tipic romanesc...

Iar numarul maxim de rapoarte pe zi nu se maresc la nimeni.

LE: Versiunea aia este injector este detectata inca din 22.11.2020.

**adversaru** · 28-12-2021 05:53 PM

"Tipic romanesc" este si faptul ca incepi deja sa deviezi de la subiect pe o cale care nu-si are rostul, in fata persoanei gresite, afirmand de altfel chestii care nu au nicio relevanta, logica sau sens.
Lunar este un injector scris si publicat de catre "visiboi", prin "injectorul nostru" ma refeream la faptul ca era injectorul pe care-l foloseam noi la testele wargods. Trebuie sa intelegi, daca tot esti atat de inteligent, faptul ca eu sunt responsabil de ceea ce scriu, nu de ceea ce intelegi tu.
De asemenea, nu stiu unde sau cine s-a dat drept autorul "Skipframes", astept sa-mi arati tu unde, in orice fel, am spus eu ca noi am CREAT ( nu folosit ) aceasta metoda, cu toate ca eu personal am fost printre primii oameni care a folosit un DLL cu acel cod undeva prin anul 2018, rushensky fiind doar un intermediar care l-a facut public, nicidecum creatorul original.

Si ca sa completez ideea faptului ca ai un fals-pozitiv, FIY: si skip-frame-ul facut de la zero, fara nimic aditional, are aceeasi detectie.

Mai departe de atat, ca sa fiu "tipic romanesc", poti inchide topicul, poate o sa revin cand o sa scrii si o sa te exprimi corect si vei invata sa vorbesti frumos.

**Tiger** · 28-12-2021 06:16 PM

Auzi ma la el, pe langa faptul ca esti prins cu pisica in sac mai ai si tupeul sa comentezi. Du-te tare, iar cu ocazia asta ia si o carte de limba si literatura romana si invata cum sa te exprimi.